AWS Athena 分析日志

AWS里面可以用Athena来分析S3里面保存的日志，他把日志转换成数据库表的格式，这样就可以通过sql语句进行查询了。这个功能和在windows服务器上用logparser来分析Exchange或者IIS的日志很相似。

下面做个演示，通过Cloudtrail记录管理日志，然后通过Athena来查询日志内容。

首先选择CloudTrail,CloudTrail 是一个日志记录的服务，他和cloudwatch的区别在于这个服务更多是侧重于审计，他的内容都是关于什么时候，什么账号，从什么IP上进行了什么操作。

点击 Create Trail

取个名字， 创建一个新的S3 bucket来保存日志

创建好之后可以看见他自动已经在记录最新的日志了

然后选择 Athena

跳过向导，直接进入查询器的编辑器，这里是编辑SQL语句的地方。这里我直接创建一个的数据库

下面来创建一个表，从指定的S3 Bucket里面获取数据。
我们可以通过向导创建，但是比较繁琐

比较容易的是通过脚本创建，注意最后一行S3存储桶的地址

CREATE EXTERNAL TABLE cloudtrail_logs (
eventversion STRING,useridentity STRUCT<
               type:STRING,principalid:STRING,arn:STRING,accountid:STRING,invokedby:STRING,accesskeyid:STRING,userName:STRING,sessioncontext:STRUCT<
attributes:STRUCT<
               mfaauthenticated:STRING,creationdate:STRING>,sessionissuer:STRUCT<  
               type:STRING,principalId:STRING,accountId:STRING,userName:STRING>>>,eventtime STRING,eventsource STRING,eventname STRING,awsregion STRING,sourceipaddress STRING,useragent STRING,errorcode STRING,errormessage STRING,requestparameters STRING,responseelements STRING,additionaleventdata STRING,requestid STRING,eventid STRING,resources ARRAY<STRUCT<
               ARN:STRING,type:STRING>>,eventtype STRING,apiversion STRING,readonly STRING,recipientaccountid STRING,serviceeventdetails STRING,sharedeventid STRING,vpcendpointid STRING
)
ROW FORMAT SERDE ‘com.amazon.emr.hive.serde.CloudTrailSerde‘
STORED AS INPUTFORMAT ‘com.amazon.emr.cloudtrail.CloudTrailInputFormat‘
OUTPUTFORMAT ‘org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat‘
LOCATION ‘s3://mycloudtrailbucket-faye/AWSLogs/757250003982/‘;

创建表成功的样子

下面我们可以进行一个简单的查询，结果如下。